摘 要:由于ARP协议本身的漏洞,ARP攻击特别频繁。目前解决ARP攻击的思路多集中在客户端安装ARP防火墙或在网络中部署安全设备。通过分析ARP攻击的基本原理和交换机功能特性,本文列举了七种基于智能交换机防御ARP攻击的方案。网络管理员结合网络环境合理选用方案,能提高网络管理的便捷性和网络的安全性。
关键词:ARP;智能交换机;防御
1.ARP攻击基本原理
?IP数据包常通过以太网发送是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。ARP表中存在IP地址到MAC地址的映射。地址解析协议ARP就是用来确定这些映射的协议。在这个过程中ARP协议缺少相应的认证和鉴别机制,所以通过伪造或篡改IP地址和MAC地址映射实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击原理虽然简单,易于分析,但是网络攻击往往是越简单越易于散布,造成的危害越大。
2.智能交换机防御ARP的多种方案
在客户端、交换机、网关均可以防御ARP攻击,考虑交换机更为常见和易于管理,本文重点介绍基于交换机的各种ARP防御方案。
2.1保护网关IP
利用交换机的过滤机制检测进入端口的所有ARP 报文,如果ARP 报文的源IP 地址是受到保护的IP 地址,就直接丢弃报文。如交换机所连接的网段的网关为192.168.1.1,在端口Ethernet0/10启动配置ARP Guard。该方案配置非常简单,仅适用于ARP仿冒网关攻击。
Switch(Config)#interface ethernet0/10
Switch(Config-Ethernet 0/10)# arp-guard ip 192.168.1.1
2.2地址绑定
在交换机端口创建一个MAC+IP 地址绑定,将收到数据报文的地址信息与硬件地址池中的绑定信息相比较,如果匹配则转发,否则丢弃。当端口下联主机发送的ARP报文,所含的源IP+源MAC不符合地址池中的绑定关系,此报文就将被丢弃。如启用AM 并允许e0/10 上源IP为192.168.1.2,源MAC是00-01-10-2E-33-18 的用户通过。该方案配置简单,可以防御ARP仿冒攻击,也可以防御IP扫描攻击。适用于小型的静态地址网络环境。
Switch(Config)#am enable
Switch(Config)#interface Ethernet 0/10
Switch(Config-Ethernet0/10)#am port
Switch(Config-Ethernet0/10)#am mac-ip-pool 00-01-10-2E-33-18 192.168.1.2
2.3 DHCP Snooping
在动态地址网络环境中,交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。该方案是被动侦听,自动绑定,信息点数量不限,适用于动态IP地址分配环境。
当主机A向DHCP Server发请求,交换机记录下主机A对应的端口和MAC地址。
当DHCP Server返回分配给用户的IP地址,交换机上记录下DHCP返回的IP地址。
交换机依据记录下来的信息,在相应的交换机端口上绑定合法的IP、MAC信息。
Switch(Config)#ip dhcp snooping enable //启动DHCP Snooping功能
Switch(Config)#ip dhcp snooping binding enable
Switch(Config)#interface ethernet 0/1
Switch(Config-Ethernet0/1)#ip dhcp snooping trust //DHCP服务器端口设置为Trust
Switch(Config-Ethernet0/1)#interface ethernet 0/10
Switch(Config-Ethernet0/10)#ip dhcp snooping binding arp //在端口上进行ARP绑定
2.4 802.1X认证
交换机启用802.1x认证后,用户接入网络时必须先进行身份认证,且支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能,保证接入用户的合法性。?该方案可以完美解决内网ARP攻击问题,并且人工配置量小,适用于信息点众多的网络,需要802.1X客户端和认证服务器的配合方能使用。
?主机IP地址静态配置时,终端发给802.1x认证,认证服务器验证通过后,将该用户的IP、MAC等绑定信息自动下发给接入交换机。?
?动态分配IP地址时,接入交换机启用DHCP Snooping侦听主机分配到的IP地址,并将此IP地址,以及对应的MAC地址、交换机端口发送给认证服务器。
2.5端口ARP限速
该方案的基本原理是统计网段内存在ARP 扫描特征的数据流,将切断攻击源头端口或主机,保障网络的安全。基于端口的ARP 扫描会计算一段时间内从某个端口接收到的ARP 报文的数量,基于IP 的ARP 扫描则计算一段时间内收到某IP的ARP 报文的数量,若超过了预先设置的阈值,关闭端口或者禁止来自此IP 的任何流量。端口或IP 被禁掉后,可以通过自动恢复功能自动恢复其状态。在交换机的端口启动ARP报文限速功能配置如下。
Switch(Config)#anti-arpscan enable //使能Anti-arpscan
Switch(Config)#anti-arpscan port-based threshold 10 //设置每个端口ARP报文上限
Switch(Config)#anti-arpscan ip-based threshold 10 //设置每个IP每秒的ARP报文上限
Switch(Config)#anti-arpscan recovery enable //开启防网段扫描自动恢复功能
Switch(Config)#anti-arpscan recovery time 90 //设置自动恢复的时间90秒
该方案特点是全局使能,无须在端口模式下配置,配置简单。
2.6端口隔离
端口隔离是一个基于端口的功能,作用于端口和端口之间,隔离相互之间的流量,利用端口隔离的特性,可以实现vlan内部的端口隔离。如ARP proxy图所示,在交换机上配置端口隔离后,交换机的e0/2 和e0/3 不通,但e0/2和e0/3都可以和上联口e0/1 通,其中vlan 100为主vlan,vlan200为隔离vlan,配置如下。该方案需与代理功能配合使用,因为该方案会导致正常的ARP请求报文无法应答,网络不能正常通信。
Switch(Config)#vlan 200
Switch(Config-Vlan100)#vlan 100
Switch(Config-Vlan100)#private-vlan association 200
Switch(Config-Vlan100)#switchport interface ethernet 0/1
Switch(Config-Vlan200)# switchport interface ethernet 0/2-3
2.7 ARP代理
通过使用一台支持ARP代理功能的汇聚层交换机,来负责网络中ARP请求的应答,在接入层交换机端口隔离功能的配合下,引导数据流量通过汇聚层交换机进行转发。如ARP proxy图所示,汇聚交换机上配置local arp proxy,接入交换机开启端口隔离功能,主机A主机B二层流量不可达,必须通过汇聚交换机上进行三层转发。
Switch (config-if-vlan100)#ip local proxy-arp。
①主机A主机B若要通信,因主机A没有主机B的MAC地址,因此主机A发送ARP Request并广播出去;
②启用ARP代理功能的交换机向主机A发送ARP Reply报文,使用自己的MAC地址进行响应。
③主机A收到该ARP Reply之后,创建ARP表项,并发送IP数据包给主机B,因封装的以太网帧头的目的MAC为交换机的MAC,所以IP数据包并未到主机B,而是到了交换机;④当交换机收到该IP报文之后,交换机查询ARP表项,然后发送IP报文至主机B。
该方案的特点是对接入交换机要求低,只需要支持端口隔离功能即可;而且动态IP地址环境下配置简单,易于管理和实现。
3.各种方案的基本原理
ARP攻击可以分为ARP欺骗攻击和ARP泛洪(Flood)攻击。攻击程序都是通过构造非法的ARP报文,修改报文中的源IP地址与或源MAC地址,不同之处在于欺骗攻击用自己的MAC地址进行欺骗,洪泛攻击则大量发送虚假的ARP报文,拥塞网络。方案一针对ARP仿冒网关攻击,方案二和三针对不同地址环境下的ARP仿冒主机攻击。前四个方案针对IP到MAC这一解析过程的漏洞,对IP和MAC进行绑定。第五个方案针对ARP泛洪(Flood)攻击,也称为ARP扫描攻击,限制ARP报文的发送频率。方案六七针对ARP广播解析地址这一漏洞,通过指定一台三层交换机负责整个网络的ARP应答,避免非法应答。
结论:
本文介绍了多种基于交换机防控ARP病毒的方案,适用于中小型企业网和校园网,适应动态和静态两种地址分配方式,不涉及客户机和网络安全设备,所以实施成本低,效率高。当同时需要注意,以上功能必须要求是智能可网管交换机,必要进行适当的组合,方可全面立体防御网络ARP攻击,切实保障网络稳定和安全。
参考文献:
[1] 杨威,王杏元.网络工程设计与安装(第2版)[M].北京:电子工业出版社,2007.52-84
[2] Todd Lammle. CCNA学习指南[M]. 北京:电子工业出版社,2008.50-65
[3] 张海燕.局域网中的ARP欺骗及安全防范[J].网络安全技术与应用,2011(10):30-32
[4] 王帆.浅谈校园网ARP攻击原理与防范[J].信息与电脑,2011.(6):10-12
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。 返回通信学论文列表